Bonnes pratiques

Qu’elles soient automatisées ou non sur DareBoost.com, retrouvez en détail les bonnes pratiques de performance et de qualité web. Cet espace est aussi le vôtre, n’hésitez pas à nous proposer votre article, ou un sujet que vous souhaiteriez nous voir traiter.

Fiabiliser les connexions sécurisées avec HSTS (HTTP Strict Transport Security)

Si vous fréquentez notre blog, il ne vous aura pas échappé qu’il est urgent de passer au HTTPS. L’échéance est d’autant plus forte que les géants du Web ont déjà tiré leurs coups de semonce en affichant des alertes sur certaines pages en HTTP dans Google Chrome et Mozilla Firefox. Bientôt, ce seront tous les formulaires qui seront concernés.

Cela étant dit, avoir un site accessible en HTTPS ne suffit pas à basculer l’ensemble de son trafic automatiquement vers cette nouvelle version. Lire la suite

Sécurisation des cookies : passez au niveau supérieur avec l’attribut SameSite

Après avoir lu notre précédent billet dédié à la sécurisation des cookies, vous utilisez peut-être déjà les instructions Secure et HttpOnly. Pour rappel, la première permet d’empêcher l’envoi d’un cookie sur une page non sécurisée (http simple) alors que la seconde empêche l’utilisation du cookie côté client (eg: Javascript).
Passons maintenant à l’étape supérieure de la sécurisation de vos cookies avec une nouvelle instruction : SameSite, qui permet de mitiger les risques liés aux attaques de type CSRF (Cross-Site Request Forgery) et XSSI (Cross-Site Script Inclusion). Lire la suite

Sécurité et performance de vos liens target=_blank avec rel=noopener

Il y a un an presque jour pour jour, nous annoncions une mise à jour du référentiel de bonnes pratiques de notre service d’analyse de sites web. Cette mise à jour intégrait un point de contrôle sur les attributs des liens hypertextes visant à provoquer l’ouverture du lien dans une nouvelle fenêtre ou onglet (target=”_blank”).

La dernière version de Firefox a désormais rejoint Google Chrome en supportant l’attribut rel=”noopener”, l’une des solutions que nous fournissions. Prenons donc le temps de revenir sur cette recommandation, que nous avons apportée pour des objectifs de sécurité mais qui répond également à des enjeux de performance. Lire la suite

Vitesse de chargement : adaptez vos tests à votre audience

Le chargement de vos pages web vous semble assez rapide ? Etes-vous sûrs que vos visiteurs partagent cette impression ? A travers cette interrogation, c’est la question de la très forte inégalité des conditions d’accès au web de votre public cible que nous soulevons aujourd’hui, et des conséquences sur la vitesse de chargement de vos pages, telle que vécue par ces visiteurs. Lire la suite

Sécurisez vos cookies (instructions Secure et HttpOnly)

Les cookies sont omniprésents sur le web et permettent aux éditeurs de stocker un certain nombre d’informations directement sur le navigateur de l’internaute. Notamment utilisés pour identifier la session de l’utilisateur et permettre au serveur de reconnaître celui-ci tout au long de sa navigation, les cookies contiennent souvent des informations personnelles et/ou sensibles. Il convient donc de les protéger en conséquence. Lire la suite

HTTP/2 : la transition est en marche ! Quels changements pour le développeur front-end ?

Nous l’avons annoncé il y a quelques semaines : notre outil de test de performance est maintenant pleinement compatible HTTP/2 et notre référentiel de bonnes pratiques de performance a été adapté pour prendre en compte les particularités de ce protocole. Je vous propose aujourd’hui de revenir en détail sur ce qui a motivé la naissance de HTTP/2, les changements majeurs apportés, mais aussi les différentes bonnes pratiques HTTP/1 dont nous allons devoir nous défaire ! Lire la suite

Eviter l’utilisation de document.write, surtout pour l’injection de scripts externes

Déjà pointée du doigt par les outils historiques d’audit de la performance front-end comme Google Page Speed (et évidemment Dareboost plus récemment), l’utilisation de l’instruction document.write pour injecter un script pose des problèmes importants pour le temps de chargement des sites web. A l’occasion d’une mise à jour de Chrome, qui fait revenir ce sujet dans l’actualité du moment, penchons nous sur les problèmes posés et les alternatives à envisager.

Lire la suite